[发明专利]一种用于云环境的流量检测方法与资源池系统

说明书

本发明实施例公开了一种用于云环境的流量检测方法与资源池系统，所述方法包括：以云平台中用户为单位接收任一用户的业务流量，将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区，每个隔离区中包含一个或多个检测单元，每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元，每个检测单元对接收到的业务流量进行检测。本发明实施例能够实现多用户的安全资源隔离和高效的转发性能，从而实现灵活性和性能的兼备。

技术领域

本发明涉及计算机信息安全领域，尤指一种用于云环境的流量检测方法与资源池系统。

背景技术

随着计算机通信和信息技术的高速发展，云计算逐渐成为各类行业和业务的主流部署方式，然而业务上云以后不但会将传统安全问题放大，还会带来新的安全风险。

面对这些问题，主流厂商的做法是以旁挂的方式将虚拟安全网元部署在外部安全资源池中，并在云内引流至外部资源池，实现虚拟化功能。例如有的现有技术方案是将物理资源虚拟化为应用层和业务层提供系统环境服务；还有的现有技术方案是提供基于软件定义网络(Software Defined Network，SDN)的安全资源池保证云环境中的安全性。这类方法和技术均是通过物理资源的虚拟化，构建资源池，然后将流量引入资源池内实现相关的功能，如监控、安全检测等，并没有考虑对于流量实现安全检测时系统的消耗、引流表项规模、资源动态灵活性等问题。

当流量引入资源池中后，为了对流量进行检测，需要对流量进行分流处理。对于检测类产品主要使用两种方式进行分流处理，其一是通过硬件SDN交换机配合网卡直通技术实现流量编排，以此提高硬件处理性能，然而这种方式对于云平台有多个用户网络时难以处理，需要编写复杂的流表，资源消耗大，同时这种绑定网卡的技术难以进行资源池内部的网元分配，无法保证动态灵活性。另一种方式则是在资源池内部设计虚拟分流器，分流器通过流量复制实现检测类产品流量的复用，然而当云平台有多个用户网络时，流量较大，虚拟分流器需要复制多份，无法保证性能。

综上，现有的针对云平台的流量检测类方法主要存在以下弊端：无法兼备灵活性和性能，同时基于资源池的安全系统结构复杂，资源消耗大，并且难以维护。

发明内容

本发明实施例提供了一种用于云环境的流量检测方法与资源池系统，兼顾灵活性与性能。

一方面，本发明实施例提供了一种用于云环境的流量检测方法，所述方法包括：

以云平台中用户为单位接收任一用户的业务流量，将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区，每个隔离区中包含一个或多个检测单元，每个隔离区通过泛洪将所述用户的业务流量复制分发至本隔离区中的每个检测单元，每个检测单元对接收到的业务流量进行检测。

可选地，所述以云平台中用户为单位接收任一用户的业务流量，包括：

由用户对应的虚拟数据交换单元接收云平台中所述用户对应的引流器发送的所述用户的业务流量，每个用户对应一个虚拟数据交换单元。

可选地，所述将所述用户的业务流量发送至为所述用户预设的一个或多个隔离区，包括：

预先为所述用户设置一个或多个隔离区，每个隔离区包含的检测单元，以及每个隔离区的标识，同一隔离区中的所有检测单元的检测对象相同；

由所述用户对应的虚拟数据交换单元通过虚拟交换机将用户的业务流量发送至为所述用户预设的隔离区，所述虚拟数据交换单元根据隔离区中的检测单元的检测对象决定将所述用户的哪些业务流量发送给所述隔离区。

可选地，所述每个隔离区通过泛洪将所述用户的业务流量发送至本隔离区中的每个检测单元，包括：

所述虚拟数据交换单元向为用户预设的隔离区发送所述用户的业务流量时，将业务流量的目的地址修改为虚假地址，并添加目的隔离区的隔离区标识；